设备管理
Citrix端点管理可以在单个管理控制台中预配和管理各种设备类型,保护其安全以及将其列入清单。
使用一组通用的设备策略可管理受支持的设备。要按平台快速查看可用的设备策略,请执行以下操作:
- 转到端点管理控制台,然后导航到配置 > 设备策略。
单击添加,然后选择要查看的平台。
有关详细信息,请参阅过滤已添加的设备策略列表。
保护企业信息,以严格保护身份信息,公司拥有的设备和byo设备,应用程序,数据和网络的安全。指定用于对设备进行身份验证的用户身份。配置如何在设备上分开保存企业数据和个人数据。
向最终用户交付任何应用程序,无论设备或操作系统为何。在应用程序级别保护您的信息,并确保企业级移动应用程序管理。
使用预配和配置控制来设置设备。这些控制包括设备注册、策略应用程序和访问权限。
使用安全和合规性控制创建可自定义的安全基线和可操作的触发。例如,在违反界定的合规性标准时锁定、擦除设备或在设备上发出通知。
使用操作系统更新控制来阻止或强制执行操作系统更新。此功能对于抵御有针对性的操作系统漏洞以防止数据丢失至关重要。
要访问有关每个受支持平台的文章,请展开内容列表中的“设备管理”部分。这些文章提供了特定于每个设备平台的详细信息。本文的剩余部分介绍如何执行常规设备管理任务。
设备管理工作流程
本部分中的工作流程图提供了执行设备管理任务的建议顺序。
建议添加设备和应用程序前必须满足的必备条件:提前执行以下设置可以无中断地配置设备和应用程序。
![添加设备和应用程序前建议执行的步骤]()
请参阅:
添加设备:
![添加设备工作流]()
请参阅:
准备注册邀请:您可以向使用iOS, iPadOS macOS, Android企业和旧版Android设备的用户发送注册邀请。如果您计划使用注册邀请,请执行这些任务。
![准备注册邀请工作流]()
请参阅:
添加应用程序:
![添加应用程序工作流]()
请参阅:
执行持续的设备和应用程序管理:除了使用端点管理控制板外,我们还鼓励您查看每个版本的新增功能内容。新增功能提供了有关任何必要操作的信息,例如配置新设备策略。
![应用程序和设备管理工作流]()
请参阅:
注册邀请
为了安全地远程管理用户设备,请在端点管理中注册用户设备。将终端管理客户端软件安装在用户设备上并验证用户的身份。然后,安装端点管理和用户配置文件。有关受支持设备平台的注册详细信息,请参阅本部分下的设备文章。
在终端管理控制台中:
- 您可以向使用iOS, iPadOS macOS, Android企业和旧版Android设备的用户发送注册邀请。注册邀请不可用Windows设备。
- 您可以向使用iOS, iPadOS Android企业或旧版Android设备的用户发送邀请URL。如果您计划通过向用户发送邀请URL来注册iPadOS设备,请参阅Citrix支持文章CTX261981。邀请URL不适用于Windows设备。
注册邀请的发送方式如下所示:
如果注册邀请面向本地用户或Active Directory用户:用户将通过您指定的电话号码和运营商收到来自SMS的邀请。
如果注册邀请面向组:用户将收到来自短信的邀请。如果Active Directory 用户在 Active Directory 中具有电子邮件地址和移动电话号码,则会收到该邀请。本地用户将通过在用户属性中指定的电子邮件和电话号码收到邀请。
用户注册后,他们的设备在管理 > 设备上显示为托管。邀请url的状态显示为已兑换。
必备条件
- 已配置ldap
如果使用本地组和本地用户:
一个或多个本地组。
分配给本地组的本地用户。
交付组与本地组相关联。
如果使用Active Directory:
- 交付组与Active Directory组相关联。
创建注册邀请
在端点管理控制台中,单击管理 > 注册邀请。此时将显示注册邀请页面。
![端点管理控制台]()
单击添加。此时将显示一个注册选项菜单。
![“添加邀请”菜单]()
- 要向用户或组发送注册邀请,请单击添加邀请。
- 要通过SMTP或短信向收件人列表发送注册安装链接,请单击发送安装链接。
如何发送注册邀请和安装链接将在这些步骤之后进行介绍。
单击添加邀请。将显示注册邀请屏幕。
![“注册邀请”屏幕]()
配置以下设置:
- 收件人:选择组或用户。
选择平台:如果收件人为组,则默认选择所有平台。可以更改所选平台。如果收件人为用户,则不选择任何平台。选择平台。
要为Android Enterprise设备创建注册邀请,请选择安卓> Android Enterprise。
- 设备所有权:选择公司或员工。
此时将显示用户或组的设置,如以下各节中所述。
向用户发送注册邀请
配置以下用户设置:
- 用户名:键入用户名。用户必须作为本地或 Active Directory 用户身份存在于 Endpoint Management 中。如果用户是本地用户,请设置用户的电子邮件属性,以便能够向该用户发送通知。如果用户在 Active Directory 中,请务必配置 LDAP。
- 电话号码:如果您选择多个平台或者只选择macOS,则不会显示此设置。(可选)键入用户的电话号码。
- 运营商:如果您选择多个平台或者只选择macOS,则不会显示此设置。选择要与用户的电话号码关联的运营商。
- 注册模式:为用户选择注册安全模式。默认值为用户名 + 密码。以下某些选项并非适用于所有平台:
- 用户名 + 密码
- 高安全性
- 邀请url
- 邀请url + pin
- 邀请url +密码
- 双重
- 用户名+ pin
要发送注册邀请,您只能使用邀请url、邀请url + pin或邀请url +密码注册安全模式。对于使用用户名 + 密码、双重身份验证或用户名+ pin注册的设备,用户必须在安全中心中手动输入凭据。
有关详细信息,请参阅按平台分类注册安全模式。用于注册的pin又称为一次性pin。此类pin仅在用户注册时有效。
注意:
当您选择包含pin的任何注册安全模式时,将显示注册pin的模板字段。单击注册引脚。
- 代理下载模板:选择名为下载链接的下载链接模板。该模板适用于受支持的所有平台。
- 注册url模板:选择注册邀请。
- 注册确认模板:选择注册确认。
- 过期之后:在配置注册安全模式时设置此字段,并指示注册何时到期。有关配置注册安全模式的详细信息,请参阅配置注册安全模式。
- 最大尝试次数:此字段在配置注册安全模式时设置,并指示注册过程发生的最大次数。
- 发送邀请:选择开将立即发送邀请。选择关将向注册邀请页面上的表格中添加邀请,但不发送。
如果已启用发送邀请,请单击保存并发送。否则,请单击保存。邀请将显示在注册邀请页面上的表格中。
![“注册邀请”页面上的表]()
向组发送注册邀请
下图中显示了用于配置向组发送的注册邀请的设置。
配置以下设置:
- 域:选择要接收邀请的组的域。
- 组:选择要接收邀请的组。终端管理从活动目录获取用户列表。该列表包括名称中包含特殊字符的用户。
- 注册模式:选择希望组中的用户采用的注册方式。默认值为用户名 + 密码。以下某些选项并非适用于所有平台:
- 用户名 + 密码
- 高安全性
- 邀请url
- 邀请url + pin
- 邀请url +密码
- 双重
- 用户名+ pin
要发送注册邀请,您只能使用邀请url、邀请url + pin或邀请url +密码注册安全模式。对于使用用户名 + 密码、双因素或用户名+ pin注册的设备,用户必须在安全中心中手动输入凭据。
仅显示对每个选定的平台有效的注册安全模式。有关详细信息,请参阅按平台分类注册安全模式。
注意:
当您选择包含pin的任何注册安全模式时,将显示注册pin的模板字段。单击注册引脚。
- 代理下载模板:选择名为下载链接的下载链接模板。该模板适用于受支持的所有平台。
- 注册url模板:选择注册邀请。
- 注册确认模板:选择注册确认。
- 过期之后:在配置注册安全模式时设置此字段,并指示注册何时到期。有关配置注册安全模式的详细信息,请参阅配置注册安全模式。
- 最大尝试次数:此字段在配置注册安全模式时设置,并指示注册过程发生的最大次数。
- 发送邀请:选择开将立即发送邀请。选择关将向注册邀请页面上的表格中添加邀请,但不发送。
如果已启用发送邀请,请单击保存并发送。否则,请单击保存。邀请将显示在注册邀请页面上的表格中。
![“注册邀请”表]()
发送安装链接
您必须通过设置页面在通知服务器上配置通道(smtp或sms),才能发送注册安装链接。有关详细信息,请参阅通知。
配置这些设置,然后单击保存。
- 收件人:对于要添加的每个收件人,单击添加,然后执行以下操作:
- 电子邮件:键入收件人的电子邮件地址。此字段为必填字段。
- 电话号码:键入收件人的电话号码。此字段为必填字段。
注意:
要删除收件人,请将鼠标悬停在包含此列表的行上方,然后单击右侧的垃圾桶图标。此时将显示确认对话框。单击删除以删除列表,或单击取消以保留列表。
要编辑收件人,请将鼠标悬停在包含此列表的行上方。然后,单击右侧的笔图标。更新列表,然后单击保存以保存更改后的列表,或单击取消以保留列表不变。
- 通道:选择用于发送注册安装链接的通道。可以通过SMTP或短信发送通知。在通知服务器的设置页面上配置服务器设置后,才能激活这些通道。有关详细信息,请参阅通知。
- SMTP:配置以下可选设置。如果不在这些字段中键入任何内容,将使用为所选平台配置的通知模板中指定的默认值:
- 发件人:键入可选发件人。
- 主题:键入消息的可选主题。例如,“注册您的设备”。
- 消息:键入要发送给收件人的可选消息。例如,“注册您的设备以获取组织应用程序和电子邮件的访问权限。”
- 短信:配置以下设置。如果不在此字段中键入任何内容,将使用为所选平台配置的通知模板中指定的默认值:
消息:键入要发送给收件人的消息。对于基于 SMS 的通知,这是必填字段。
在北美,超过160个字符的短信消息将通过多条消息发送。
- 收件人:对于要添加的每个收件人,单击添加,然后执行以下操作:
单击发送。
注意:
如果您的环境使用sAMAccountName:在用户收到邀请并单击链接后,必须编辑用户名才能完成身份验证。用户名以
sAMAccountName@domainname.com的形式显示。用户必须删除@domainname.com部分。
按平台分类注册安全模式
下表显示了可用于注册用户设备的安全模式。在表中,是指示哪些设备平台支持具有不同注册配置文件的特定注册和管理模式。
| MDM注册安全模式 | Citrix Gateway上的MAM注册安全模式 | 管理模式 | 支持不同的注册资料 | Android(旧版) | Android的企业 | iOS(用户注册模式) | iOS | macOS | 窗户 |
|---|---|---|---|---|---|---|---|---|---|
| Azure AD和Okta通过Citrix Cloud作为身份提供商 | 客户端证书 | Mdm + Mdm或Mdm | 是 | 是 | 是 | 是 | 是 | 否 | 否 |
| 用户名 + 密码 | 仅限ldap, ldap +客户端证书和客户端证书 | MDM或MDM +老妈,老妈(仅限老妈模式不支持Citrix网关上的客户端证书) | 是 | 是 | 是 | 是 | 是 | 是 | 是 |
| 高安全性 | 客户端证书 | Mdm + Mdm或Mdm | 是 | 是 | 是 | 否 | 是 | 否 | 否 |
| 邀请url | 客户端证书 | Mdm + Mdm或Mdm | 是 | 是 | 是 | 否 | 是 | 否 | 否 |
| 邀请url + pin | 客户端证书 | Mdm + Mdm或Mdm | 是 | 是 | 是 | 否 | 是 | 否 | 否 |
| 邀请url +密码 | 仅限ldap, ldap +客户端证书和客户端证书 | Mdm + Mdm或Mdm | 是 | 是 | 是 | 否 | 是 | 否 | 否 |
| 双重身份验证(用户名+密码+ pin) | 仅限ldap, ldap +客户端证书和客户端证书 | Mdm + Mdm或Mdm | 是 | 是 | 是 | 否 | 是 | 是 | 否 |
| 用户名+ pin | 客户端证书 | Mdm + Mdm或Mdm | 是 | 是 | 是 | 否 | 是 | 是 | 否 |
下面介绍了注册安全模式在iOS设备上的行为方式:
- 用户名 + 密码(默认设置)
- 向用户发送包含注册url的单个通知。当用户单击URL时,安全中心将打开。然后,用户键入用户名和密码以将设备注册到端点管理中。
- 高安全性
- 向用户发送以下电子邮件:
- 包含下载链接的电子邮件,该邮件允许用户下载并安装安全中心。
- 包含注册URL的电子邮件,该邮件允许用户启动安全中心并注册设备。
- 包含一次性销(用户在注册设备时必须键入该销)以及用户的Active Directory(或本地)用户名和密码的电子邮件。
- 在此模式下,用户只能通过使用通知中的注册url进行注册。如果用户丢失了通知邀请,用户将无法注册。但是,您可以发送其他邀请。
- 向用户发送以下电子邮件:
- 邀请url
- 向用户发送包含注册url的单个通知。当用户单击URL时,安全中心将打开。此时将显示Endpoint Management 服务器名称和是,注册按钮。用户轻按是,注册以在终端管理中注册设备。
- 邀请url + pin
- 向用户发送以下电子邮件:
- 包含注册URL的电子邮件,该邮件允许用户通过安全中心在端点管理中注册设备。
- 包含一次性销(用户在注册设备时必须键入该销)以及用户的Active Directory(或本地)密码的电子邮件。
- 在此模式下,用户只能通过使用通知中的注册url进行注册。如果用户丢失了通知邀请,用户将无法注册。但是,您可以发送其他邀请。
- 向用户发送以下电子邮件:
- 邀请url +密码
- 向用户发送包含注册url的单个通知。当用户单击URL时,安全中心将打开。此时将显示Endpoint Management 服务器名称,以及允许用户键入密码的字段。
- 双重
- 向用户发送包含注册url和一次性pin码的单个通知。当用户单击URL时,安全中心将打开。此时将显示Endpoint Management 服务器名称,以及允许用户输入密码和 PIN 码的两个字段。
- 用户名+ pin
- 向用户发送以下电子邮件:
- 包含注册URL的电子邮件,该邮件允许用户下载并安装安全中心。安全中心打开后,系统将提示用户键入用户名和密码,以便在端点管理中注册设备。
- 包含一次性销(用户在注册设备时必须键入该销)以及用户的Active Directory(或本地)密码的电子邮件。
- 如果用户丢失了通知邀请,用户将无法注册。但是,您可以发送其他邀请。
- 向用户发送以下电子邮件:
下面介绍了注册安全模式在macOS设备上的行为方式:
- 用户名 + 密码
- 向用户发送包含注册url的单个通知。当用户单击URL时,Safari浏览器将打开。此时将显示一个登录页面,提示用户键入用户名和密码,以便在 Endpoint Management 中注册设备。
- 双重
- 向用户发送包含注册url和一次性pin码的单个通知。当用户单击URL时,Safari浏览器将打开。此时将显示一个登录页面,其中显示两个允许用户键入密码和 PIN 码的字段。
- 用户名+ pin
- 向用户发送以下电子邮件:
- 包含注册url的电子邮件。当用户单击URL时,Safari浏览器将打开。此时将显示一个登录页面,提示用户键入用户名和密码,以便在 Endpoint Management 中注册设备。
- 包含一次性销(用户在注册设备时必须键入该销)以及用户的Active Directory(或本地)密码的电子邮件。
- 如果用户丢失了通知邀请,用户将无法注册。但是,您可以发送其他邀请。
- 向用户发送以下电子邮件:
您不能向Windows设备发送注册邀请。Windows用户直接通过其设备注册。有关注册 Windows 设备的信息,请参阅Windows设备。
安全操作
您可以从管理 > 设备页面执行设备和应用程序安全操作。设备操作包括吊销、锁定、解锁及擦除。应用程序安全操作包括应用程序锁定和应用程序擦除。
激活锁绕过:设备激活之前从受监督的iOS设备中删除激活锁。此命令不需要用户的个人苹果ID或密码。
应用程序锁定:拒绝访问设备上的所有应用程序。在安卓上,应用程序锁定后,用户无法登录 Endpoint Management。在 iOS 上,用户可以登录,但无法访问任何应用程序。
应用程序擦除:从安全中心中删除用户帐户并取消注册设备。在执行应用程序取消擦除操作之前,用户才能重新注册。
Asm部署计划激活锁:为在苹果校园教务管理中注册的iOS设备创建激活锁绕过码。
证书续订:对于受支持的iOS, macOS和Android设备,证书续订安全操作会启动证书续订。下次设备连接回端点管理时,端点管理服务器会根据新证书颁发机构颁发新的设备证书。
清除限制:在受监督的iOS设备上,此命令允许端点管理清除用户配置的限制密码和限制设置。
启用/禁用丢失模式:将受监督的iOS设备置于丢失模式并向设备发送要显示的消息,电话号码和脚注。第二次发送此命令将使设备脱离丢失模式。
启用跟踪:在Android或iOS设备上,此命令允许端点管理以您定义的频率轮询特定设备的位置。要在地图上查看设备坐标和位置,请转到管理 > 设备,选择一个设备,然后单击编辑。设备信息位于安全下的常规选项卡上。使用启用跟踪可持续跟踪设备。安全中心会在设备运行时定期报告位置。
完全擦除:立即从设备中(包括从任何内存卡中)擦除所有数据和应用程序。为了审核目的,已擦除的设备将保留在”管理" > "设备页面的设备列表中。您可以从设备列表中删除已擦除的设备。
对于Android设备,此请求还可以包括用于擦除内存卡的选项。
对于使用工作配置文件(处理设备)的Android企业完全托管设备,您可以在选择性擦除操作删除工作配置文件后执行完全擦除。
对于iOS, macOS和tvOS设备,擦除操作会立即进行,即使设备处于锁定状态亦如此。
对于iOS 11设备和iPadOS 12设备(最低版本):确认完全擦除时,可以选择在设备上保留蜂窝数据套餐。
对于iOS 11.3设备(最低版本):确认完全擦除后,可以阻止iOS设备执行邻近感应设置。设置新的iOS设备时,用户通常可以使用已配置的iOS设备来设置自己的设备。您可以阻止在由终端管理管理并已擦除的设备上进行邻近感应设置。
对于Windows Phone设备,完全擦除操作会删除所有端点管理信息和所有用户数据。删除的用户数据包括应用程序、电子邮件、联系人和媒体等个人内容。
如果设备用户在删除内存卡内容之前关闭了设备,用户可能仍然对设备数据具有访问权限。
可以在将擦除请求发送到设备之前取消该请求。
- 定位:定位设备并在管理 > 设备页面的设备详细信息常规下报告设备位置,包括地图。定位是一次性操作。使用定位可显示执行该操作时的当前设备位置。要在一段时间内持续跟踪设备,请使用启用跟踪。
- 将此操作应用到安卓(Android企业除外)设备或Android企业(企业拥有或BYOD)设备时,请注意以下行为:
- 定位要求用户在注册期间授予位置权限。用户可以选择不授予定位权限。如果用户在注册期间没有授予权限,则 Endpoint Management 会在发送定位命令时再次请求位置权限。
- 将此功能应用到iOS或Android Enterprise设备时,请注意以下限制:
- 对于Android Enterprise设备,除非位置设备策略已将设备的位置模式设置为高精度或省电,否则此请求将失败。
- 对于iOS设备,只有当设备处于MDM丢失模式时,命令才会成功。
- 将此操作应用到安卓(Android企业除外)设备或Android企业(企业拥有或BYOD)设备时,请注意以下行为:
锁定:远程锁定设备。当用户丢失设备并且您想锁定设备以防设备被盗时,该锁非常有用。终端管理随之生成一个PIN码代码并在设备中进行设置。要访问设备,用户需要键入该pin -代码。使用取消锁定可从终端管理控制台中删除锁定。
锁定并重置密码:远程锁定设备并重置密码。
- 不支持以下设备:
- 在工作配置文件模式下在Android Enterprise中注册的设备,以及
- 运行Android 7.0之前的Android版本的设备
- 在工作配置文件模式下于Android企业中注册且运行Android 7.0或更高版本的设备上:
- 发送的密码将锁定工作配置文件。设备不会被锁定。
- 如果没有发送密码,或者发送的密码不符合要求并且工作配置文件没有密码:设备已锁定。
- 如果没有发送密码,或者发送的密码不符合要求,但工作配置文件有密码:工作配置文件已锁定但设备未锁定。
- 不支持以下设备:
通知(响铃):在Android设备上播放声音。
重新启动:重新启动Windows 10设备。对于窗户Tablet 和 PC,将显示一条有关等待重新启动的消息。重新启动将在五分钟后发生。对于 Windows Phone,重新启动将在几分钟后发生,并且不向用户显示任何警告消息。
请求使用/停止使用AirPlay镜像:在受监督的iOS设备上启动和停止AirPlay镜像。
重新启动/关闭:立即重新启动或关闭受监督的设备。tvOS支持重新启动,但不支持关闭。
吊销:禁止设备连接到终端管理。
吊销/授权:执行与"选择性擦除"相同的操作。吊销后,可以重新向设备授权以进行重新注册。
响铃:如果设备处于丢失模式,响铃将在受监督的iOS设备上播放声音。声音将持续播放,直至您将设备从丢失模式中删除或者用户禁用声音。
转动个人恢复钥匙(轮换个人恢复密钥)如果您启用了FileVault设备策略,此操作将生成新的个人恢复密钥,并将旧密钥替换为这一新密钥。可以在请求尚未处理的情况下取消此请求。为此,请单击取消旋转个人恢复键(取消轮换个人恢复密钥)。
选择性擦除:擦除设备上的所有公司数据和应用程序,保留个人数据和应用程序。执行选择性擦除操作后,使用授权操作重新授权设备,以便用户可以重新注册设备。为了审核目的,已擦除的设备将保留在”管理" > "设备页面的设备列表中。您可以从设备列表中删除已擦除的设备。
- 选择性擦除Android设备不会断开设备与设备管理器及企业网络的连接。要阻止设备访问设备管理器,还必须吊销设备证书。
- 选择性擦除Android设备也会吊销设备。只有在重新授权设备或从控制台中删除设备后,才能重新注册设备。
- 对于使用工作配置文件(处理设备)的Android企业完全托管设备,您可以在选择性擦除操作删除工作配置文件后执行完全擦除。或者,也可以使用相同的用户名重新注册设备。重新注册设备会重新创建工作配置文件。
- 如果启用了三星诺克斯API,选择性擦除设备还将删除三星诺克斯容器。
- 对于iOS和macOS设备,此命令将删除通过MDM安装的任何配置文件。
- 在Windows设备上执行的选择性擦除还将删除当时已登录的任何用户的配置文件文件夹的内容。选择性擦除不会删除您通过配置向用户提供的任何网页剪辑。要删除网站剪辑,用户需要手动取消注册其设备。您无法重新注册有选择性地擦除的设备。
- 选择性擦除Windows Phone设备会删除允许端点管理在设备上安装应用程序的企业令牌。该擦除操作还将删除部署到设备的所有终端管理证书和配置。你不能重新注册有选择性地擦除的Windows Phone设备。
- 解锁:清除设备被锁定时向其发送的通行码。此命令不会解锁设备。
在管理 > 设备中,设备详细信息页面还列出了设备安全性属性。这些属性包括"强id ", "锁定设备","激活锁绕过"以及平台类型的其他信息。完全擦除设备字段包括用户的pin代码。擦除设备后,用户必须输入该代码。如果用户忘记了该代码,您可以在此处查找。
您可以自动执行某些操作。有关详细信息,请参阅自动化操作。
从终端管理控制台中删除设备
重要:
从端点管理控制台中删除设备时,托管应用程序和数据仍保留在设备上。要从设备中删除托管应用程序和数据,请参阅本文后面的“删除设备”部分。
要从端点管理控制台中删除设备,请转到管理 > 设备,选择托管设备,然后单击删除。
选择性擦除设备
转到”管理" > "设备",选择受管设备,然后单击"安全”。
在安全操作中,单击选择性擦除。
仅限Android设备:要断开设备与企业网络的连接,请在擦除设备后,在安全操作中,单击吊销。
要在擦除之前撤回选择性擦除请求,请在安全操作中,单击取消选择性擦除。
删除设备
此过程将从该设备中删除托管应用程序和数据,并从端点管理控制台的“设备”列表中删除该设备。可以使用端点管理公共REST接口批量删除设备。
转到”管理" > "设备",选择受管设备,然后单击"安全”。
单击选择性擦除。系统提示时,单击执行选择性擦除。
要验证擦除命令是否成功,请刷新”管理" > "设备”。在模式列中,琥珀色的MDM和mam指示擦除命令成功。
![成功擦除命令]()
在管理 > 设备上,选择设备,然后单击删除。系统提示时,再次单击删除。
锁定、解锁、擦除或取消擦除应用程序
转到”管理" > "设备",选择受管设备,然后单击"安全”。
在安全操作中,单击应用程序操作。
还可以使用安全操作对话框检查已禁用或从Active Directory中删除其帐户的用户的设备状态。如果存在“应用程序解锁”操作或“应用程序取消擦除”操作,则表明应用程序已被锁定或擦除。
获取有关设备的信息
端点管理数据库用于存储移动设备的列表。要将设备填充到端点管理控制台中,可以手动添加设备或从文件导入设备列表。有关设备预配文件格式的详细信息,请参阅本文后面的设备预配文件格式。
端点管理控制台中的”管理" > "设备页面列出了每个设备和以下信息:
- 状态:图标指示设备是否已越狱,是否托管,ActiveSync Gateway是否可用以及部署状态。
- 模式:指示设备模式、如MDM或MDM+ ma。
- 与设备有关的其他信息,例如用户名、设备平台、上次访问时间和不活动天数。这些标题是显示的默认标题。
要自定义设备表,请单击最后一个标题上的向下箭头。然后选择要在表格中查看的其他标题,或者清除要将其删除的所有标题。
可以手动添加设备,从设备预配文件中导入设备,编辑设备详细信息,自定义Active Directory用户属性,执行安全操作以及向设备发送通知。还可以将所有设备表数据导出到.csv文件,以创建自定义报告。服务器将导出所有设备属性。如果应用过滤器,Endpoint Management 会在创建 .csv 文件时使用过滤器。
从预配文件导入设备
您可以导入移动运营商或设备制造商支持的文件,或创建自己的设备预配文件。有关详细信息,请参阅本文后面部分中的设备预配文件格式。
转到管理 > 设备,然后单击导入。此时将显示导入预配文件对话框。
![“导入预配文件”对话框]()
单击选择文件,然后导航到要导入的文件。
单击导入。设备表将列出导入的文件。
要编辑设备信息,请将其选中,然后单击编辑。有关设备详细信息页面的信息,请参阅获取有关设备的信息。
部署到设备
可以强制一个或多个设备与终端管理建立连接。所选设备立即接收资源,而无需等待下一次计划签入。
- 转到管理 > 设备,选择MDM或MDM+ mama托管设备,然后单击部署。
- 在对话框中,单击部署以确认您的操作。
向设备发送通知
您可以从设备页面向设备发送通知。有关通知的详细信息,请参阅通知。
在“管理" > "设备页面上,选择要向其发送通知的一个或多个设备。
单击通知。将显示通知对话框。收件人字段列出要接收通知的所有设备。
![“通知”对话框]()
配置以下设置:
- 模板:在列表中,单击要发送的通知类型。对于除临时外的每个模板,主题和消息字段将显示为所选模板配置的文本。
- 通道:选择消息的发送方式。默认值为SMTP和短信。单击选项卡以查看每个通道的消息格式。
- 发件人:输入可选发件人。
- 主题:输入临时消息的主题。
- 消息:输入临时消息的消息。
单击通知。
导出设备表
根据您希望在导出文件中显示的内容过滤设备表。
单击设备表上方的导出按钮。端点管理将提取过滤后的设备表中的信息,并将其转换为.csv文件。
系统提示时,打开或保存.csv文件。
手动标记用户设备
您可以在终端管理中通过以下方式手动标记设备:
- 在基于邀请的注册过程中。
- 在自助服务门户注册过程中。
- 通过添加设备所有权作为设备属性
您可以选择将设备标记为公司拥有或员工拥有。使用自助服务门户自助注册设备时,可以将设备标记为公司拥有或员工拥有。也可以手动标记设备,如下所示。
- 在端点管理控制台中,从设备选项卡向设备添加属性。
添加名为所有者的属性,然后选择公司或BYOD(员工拥有)。
![“所有者”属性设置]()
自定义Active Directory用户属性
您可以自定义某些活动目录用户属性,以定义端点管理创建用户帐户时能够访问的属性。
要查看属性列表,请在"设置" > "optional.user.identity.attributes服务器属性”中添加服务器属性作为自定义密钥。在值字段中,可以删除并稍后还原端点管理默认提供的可选活动目录用户属性。有关详细信息,请参阅服务器属性。
编辑默认值列表并保存更改后,可以在”管理" > "设备" > "用户属性"中查看更新的Active Directory用户属性。端点管理会在用户登录到设备后或下次计划的设备签入期间更新控制台。如果您出现拼写错误或添加不受支持的值,端点管理将忽略您的更改。
删除可选Active Directory用户属性可能会影响以下功能:
- 预配用户帐户:如果删除名字和姓氏值,端点管理将无法为Citrix内容协作和Salesforce预配用户帐户。
- 注册邀请:如果删除用户的电子邮件或移动电话详细信息,用户将无法收到注册邀请。
- 设备通知操作:如果删除用户的电子邮件详细信息,用户将无法通过SMTP接收通知。
- 单点登录到安全邮件:如果删除显示名称值,用户将无法使用单点登录登录安全邮件。
- 用户属性和部署规则:如果删除用于配置用户属性和部署规则的任何可选属性,可能会影响现有配置。
- 操作:如果删除了用于在"配置">“操作”中设置自动操作的任何可选属性,则可能会影响现有配置。
- 自定义报告:如果删除自定义报告中使用的任何可选属性,可能会影响现有配置。
搜索设备
为了进行快速搜索,默认搜索范围包括以下设备属性:
- 序列号
- IMEI
- Wi-Fi MAC地址
- 蓝牙MAC地址
- 主动同步ID
- 用户名
可以通过服务器属性include.device.properties.during.search配置搜索范围,其默认值为假。要在设备搜索中包含所有设备属性,请转至“设置”>“服务器属性”,然后将设置更改为真正的。
设备预配文件格式
许多移动运营商或设备制造商都会提供授权移动设备的列表。可以使用这些列表来避免手动输入长长的移动设备列表。端点管理支持以下受支持的设备类型通用的导入文件格式:iOS和Android,窗户。
手动创建的预配文件必须采用以下格式:
SerialNumber; IMEI; OperatingSystemFamily propertyName1; propertyValue1 propertyName2; propertyValue2;...propertyNameN; propertyValueN
请紧急以下几点:
- 有关每个属性的有效值,请参阅PDF设备属性名称和值。
- 使用utf-8字符集。
使用分号 (;) 分隔预配文件中的字段。如果某个字段的某一部分包含分号,请使用反斜杠字符 (\) 进行转义。
例如,对于此属性:
propertyV;测试;1;2按如下所示对其进行转义:
propertyV \;测试\ 1 \;2- 对于iOS设备,必须提供序列号,因为序列号是iOS设备标识符。
- 对于其他设备平台,必须包括序列号或imei。
- OperatingSystemFamily的有效值为窗户、安卓或iOS。
设备预配文件示例:
WINDOWS;propertyN;propertyV\;test\;1\;2;prop 2 2050BF3F517301081610065510590392;25244201625379902;ANDROID;4050 bf3f517301081610065510590393;; iOS;测试;, 55244201625379903, ANDROID; test.teste;价值;文件中的每行都描述一个设备。该示例中第一个条目的含义如下:
- 序列号:
1050年bf3f517301081610065510590391 - IMEI:
15244201625379901 - 操作系统系列:
窗户 - 属性名称:
propertyN - 属性值:
propertyV \;测试\ 1 \;2,支持2
共享设备
端点管理允许您配置多个用户可以共享的设备。例如,利用共享设备功能,医院的临床医生可以使用附近的任何设备访问应用程序和数据,而无需随身携带特定设备。您可能还希望执法、零售和制造等领域的工作者转向使用共享设备,以降低装备成本。
关于共享设备的要点
可以将支持的任何iOS和Android设备用作共享设备。有关支持的设备列表,请参阅支持的设备操作系统。
MDM注册
- 可在iOS和Android平板电脑和手机上使用。终端管理企业共享设备不支持基本Apple注册计划注册。使用经过授权的苹果部署计划在此模式下注册共享设备。
- 不支持的身份验证类型:客户端证书身份验证,Citrix销,触摸ID,用户熵和双重身份验证。
Mdm + mama注册
- 只能在iOS和Android平板电脑上使用。
- 仅支持Active Directory用户名和密码身份验证。
- 不支持客户端证书身份验证,安全中心的密码,Touch ID,用户熵和双因素身份验证。
- 不支持仅妈妈注册。设备必须在 MDM 下注册。
- 仅支持安全邮件,安全Web和Citrix Files移动应用程序。不支持HDX应用程序。
- 活动目录用户是唯一受支持的用户。不支持本地用户和组
- 现有仅MDM共享设备要更新到MDM+ mah需要重新注册。
- 用户无法共享设备上的本机应用程序。
- 在首次注册期间下载了思杰移动生产力应用程序后,不必在新用户每次登录设备时重新下载。新用户拿到设备后,只需登录即可使用。
- 在Android上,为了安全起见隔离每个用户的数据,请在终端管理控制台中启用"禁止根设备策略。
注册共享设备的必备条件
您必须先执行以下操作,才能注册共享设备:
- 创建共享设备注册用户角色。请参阅使用rbac配置角色。
- 创建共享设备用户。请参阅添加、编辑、解锁或删除本地用户帐户。
- 创建包含要应用到共享设备注册用户的基本策略、应用程序和操作的交付组。请参阅部署资源。
使用mdm + mam的必备条件
- 创建一个名称类似于共享设备注册人员的Active Directory组。
- 将要注册共享设备的Active Directory用户添加到此组。如果要使用一个专用于注册共享设备的新帐户,请创建新的 Active Directory 用户(例如
sdenroll),并将该用户添加到Active Directory组。
配置共享设备
按照以下步骤配置共享设备。
- 在端点管理控制台中,单击右上角的齿轮。此时将显示设置页面。
- 单击基于角色的访问控制,然后单击添加。此时将显示添加角色屏幕。
创建一个名为共享设备注册用户的共享设备注册用户角色,并在授权访问下选择共享设备注册人员权限。请务必在控制台功能中展开设备,然后选择选择性擦除设备。此设置可确保在取消注册设备后,可通过安全中心删除使用共享设备注册人员帐户预配的应用程序和策略。
对于应用权限,请保留默认设置至所有用户组。或者,通过至特定用户组将权限分配给Active Directory用户组。
![“应用权限”选项]()
单击下一步以转至分配屏幕。将创建的共享设备注册角色分配给共享设备注册用户的Active Directory组。在下图中,citrix.lab是Active Directory域,共享设备注册人员是Active Directory组。
![“分配”屏幕]()
创建一个交付组,其中包含在用户未登录时要应用于设备的基本策略、应用程序和操作。然后,将该交付组与共享设备注册用户Active Directory组关联。
![交付组设置]()
在共享设备上安装安全中心,然后使用共享设备注册用户帐户在端点管理中对其进行注册。现在,您可以通过端点管理控制台查看和管理设备。
要应用不同的策略或为已通过身份验证的用户提供更多应用程序,请创建与这些用户关联且仅将组部署到共享设备的交付组。在创建交付组时,请配置相应的部署规则,以确保将软件包部署到共享设备。有关详细信息,请参阅部署资源。
- 要停止共享设备,请执行选择性擦除操作,以从设备中删除共享设备注册用户帐户。选择性擦除操作还会删除部署到设备的所有应用程序和策略。
共享设备用户体验
MDM注册
用户只会看到他们可用的资源,而且在每个共享设备上都能获得同样的使用体验。共享设备注册策略和应用程序会始终保留在设备上。当未注册共享设备的用户登录安全中心时,他们的策略和应用程序会部署到设备。当该用户注销时,系统将删除与共享设备注册的策略和应用程序不同的任何策略和应用程序。共享设备注册资源则完好无损。
Mdm + mama注册
安全邮件和安全Web将在由共享设备注册用户注册后部署到设备中。用户数据会安全地保留在设备上。当其他用户登录到安全邮件或安全网络时,系统不会将这些数据公开给这些用户。
一次只能有一个用户登录到安全中心。上一个用户必须注销,下一个用户才能登录。出于安全原因,不安全中心在共享设备上存储用户凭据,因此用户必须在每次登录时输入其凭据。为确保新用户不能访问面向以前用户的资源,在删除与以前的用户关联的策略、应用程序和数据时,Secure Hub 不得允许新用户登录。
共享设备注册不会改变升级应用程序的过程。您可以照常将升级推送给共享设备的用户,而共享设备的用户可以直接在其设备上升级应用程序。
建议的安全邮件策略
- 为了获得最佳安全邮件性能,请根据要共享设备的用户数设置最大同步周期(最长同步期限)。不建议允许无限同步。
| 共享设备的用户数量 | 建议的最长同步期限 |
|---|---|
| 21 - 25日 | 1 周或更短 |
| 6 20 | 2 周或更短 |
| 5 或更少 | 1 个月或更短 |
阻止启用联系人导出以避免将用户的联系人暴露给共享设备的其他用户。
在iOS上,只能基于用户设置以下设置。所有其他设置都是共享该设备的用户通用的:
- 通知
- 签名
- 外出
- 同步邮件期限
- S / MIME
- 检查拼写